[fr/en] Browlock Ransomware Down/Disrupt Operation

[Malekal_morte]

FR (English version Below) :
Aujourd'hui, en contact avec OVH, nous avons pu down Browlock Ransomware
Browlock est Ransomware qui bloque le navigateur WEB et affiche un faux message se faisant passer pour les autoriter afin d'extorquer de l'argent :
Plus d'informations : https://www.malekal.com/2013/10/07/viru ... -securite/

(Les malvertising en anglais : https://www.malekal.com/2013/10/07/en-b ... -campaign/ ).



Les IPs OVH impliquées :

• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/

OVH avait été aussi utilisé pour héberger le Nuclear Pack, OVH avait aussi fait le nécessaire et avait mis à mal l'exploit kit pendant quelques semaines : http://forum.malekal.com/ovh-nuclear-ex ... 46468.html

Nous allons voir combien de temps, les pirates vont mettre pour reconstruire l’infrastructure.

~~

English :
Today, i work with OVH to get all the Browlock Ransomware IP at OVH down.

OVH Browlock IP List :

• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/
• https://www.virustotal.com/fr/ip-addres ... formation/

Browlock is a Web Browser Ransomware that claim to be the authority and prevent to close the browser.
Browlock Ransomware use the same skin as the Ransomware Reveton that block the computer.



More informations about Browlock :
http://www.f-secure.com/v-descs/trojan_ ... lock.shtml
http://www.symantec.com/connect/blogs/m ... ransomware

Browlock is spreaind via malvertising on adult websites (as Reveton does) :
https://www.malekal.com/2013/10/07/en-b ... -campaign/

[Malekal_morte]

FR : Browlock a été down environ ~4h.
Ils sont revenus avec une IP chez OVH : https://www.virustotal.com/fr/ip-addres ... formation/
et ont bougé chez Ubiquityhosting / Nobistech :
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
Je les ai contactés et ont contactés le client car cela peux être un hack, il faut attendre 72h avant qu'ils prennent des dispositions.
Le Ransomware Browlock va donc tourner pendant 72h sans problem.

English : Browlock has been down for ~4h.
They come back with a new IP at OVH : https://www.virustotal.com/fr/ip-addres ... formation/
and also 3 new IPs at Ubiquityhosting / Nobistech :
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/
i contact Ubiquityhosting / Nobistech abuse - then they contact their customer, because they think it can be hack .... ............ they give him 72h to reply, so Browlock Ransomware gonna run for 72h whitout any disrupt.

[Malekal_morte]

.109 and .100 too :
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/

network:Class-Name:network
network:Auth-Area:23.83.200.0/21
network:ID:NET-51255.23.83.200.104/29
network:Network-Name:Base Assignment
network:IP-Network:23.83.200.104/29
network:IP-Network-Block:23.83.200.104 - 23.83.200.111
network:Tech-Contact:MAINT-51255.23.83.200.104/29
network:Created:20130625162907000
network:Updated:20140529164309000
network:Updated-By:[email protected]
contact:POC-Name:Nobis Network Administration Team
contact:POC-Email:[email protected]
contact:POC-Phone:[email protected]
contact:Tech-Name:Nobis Network Administration Team
contact:Tech-Email:[email protected]
contact:Tech-Phone:[email protected]
contact:Abuse-Name:Nobis Network Abuse Team
contact:Abuse-Email:[email protected]
contact:Abuse-Phone:[email protected]

and Ubiquityhosting / Nobistech is still doing nothing.

[Malekal_morte]

.122 and .123 now :
https://www.virustotal.com/fr/ip-addres ... formation/
https://www.virustotal.com/fr/ip-addres ... formation/

abuse contacted and again, they are waitting for a reply for the responsible (lol)

Thank you for contacting us regarding this issue. We have forwarded your inquiry to the party responsible for the administration of the system(s) referenced in your complaint. Please note that we may contact you again for additional information if it is requested by the party responsible for the administration of the system(s) referenced in your complaint. Please let us know if you experience any further issues relating to this or any other system(s) on our network.




Ticket Details
---------------------------------
Ticket ID: ANV-953-65656
Department: Abuse
Type: Issue
Status: Closed
Priority: Low

Support Center: https://support.ubiquityhosting.com/ind ... ult_import

[ManuParis]

Bonsoir,

J'ai chopé ce virus hier sur le web de mon Iphone, mais le problème ou plutôt le non-problème c'est que ni mon Iphone, ni mon pc ne sont bloqués ; c'est bizarre, dois-je quand même prendre mes précautions, ou faire appel à un technicien de chez mon FAI ?

Par ailleurs j'ai fait un scan ! Avec RogueKiller et Malwarebytes Anti-Malware, du côté de RogueKiller ça m'a trouvé des PMU.Policies !!! Et le scan de Malwarebytes... me dit : "Potential Threats Detected!"

Voilà.

[Malekal_morte]

Selon le navigateur, le blocage ne fonctionne peut-être pas.
Si tu as une idée sur quel site, tu l'as choppé, je suis preneur.